无线网络安全认证[AD+Radius+CA]配置

    我们公司属于商贸零售行业,办公室调整非常非常频繁,维护人员往往花费大量时间去配合办公室调整.

    最近,我们打算更换无线办公网络来节省人力物力成本.我们使用了13个无线AP[fat],带150左右的客户端;在此呢考虑到,客户端需要实现无缝漫游,所有AP必须的SSID和密码必须相同.由于使用单一的密码认证方式有可能存在密码泄露的风险,考虑到无线网络的安全性,在此我们打算使用802.1x+AD+RADIUS+CA的认证方式,来保证无线网络接入安全;

在此列出配置详单.其中设备如下:

AP设备:H3C WA2220-AG 54MB

客户端:Pci 300MB无线网卡/windows xp

RADIUS认证服务器角色:IAS+CA +AD

1.AP配置说明.[型号为H3C WA2220-AG]

port-security enable                ;启用端口安全
dot1x authentication-method eap     ;认证方式为EAP
radius scheme sec                   ;创建sec的radius方案
server-type extended                ;方案服务类型为extended
primary authentication 192.9.215.172;主认证服务器
primary accounting 192.9.215.172    ;主计费服务器
key authentication h3c              ;认证共享密钥为h3c
key accounting h3c                  ;计费共享密钥为H3c
timer realtime-accounting 3         ;计费间隔为3分钟
user-name-format without-domain     ;用户不携带域名进行RADIUS认证
undo stop-accounting-buffer enable  ;缓存无响应则停止计费;

accounting-on enable                ;启用accounting


c+Z                                 ;返回配置模式
domain sec                          ;创建sec的ISP域
authentication lan-access radius-scheme sec ;在sec的域中,需要认证用户配置sec的认证方案
authorization lan-access radius-scheme sec  ;在sec的域中,需要认证用户配置sec的授权方案
accounting lan-access radius-scheme sec     ;在sec的域中,需要认证用户配置sec的计费方案

c+z                                  ;回到配置模式
domain default enable sec            ;设置sec域为默认域
interface WLAN-BSS2                  ;进入无线接口
port-security port-mode userlogin-secure-ext ;配置端口安全模式为"userlogin-secure-ext"
port-security tx-key-type 11key      ;密钥协商类型为11key


c+z                                  ;回到配置模式
wlan service-template 2 crypto       ;配置无线服务模板2.crypto类型.
ssid h3c-dot1x                       ;无线的SSID为h3c-dot1x
authentication-method open-system    ;使用开放式认证
cipher-suite tkip                    ;使用tkip加密
security-ie wpa                      ;信标和探查帧wpa IE信息
service-template enable              ;启用服务模板


c+z                                  ;返回配置模式

interface WLAN-Radio 1/0/2           ;进入发频口
service-template 2 interface WLAN-BSS 2;配置无线口使用服务模板2

c+z                                  ;返回配置模式
interface Vlan-interface1            ;进入vlan1
ip address 192.9.215.205 255.255.255.0;设置IP地址

c+z                                   ;返回配置模式
ip route  0.0.0.0  0.0.0.0  192.9.215.254  ;默认路由
 

2.配置radius[ias ad ca]  ;

系统版本为2003EEsp2.  域环境级别:2003域功能级别  ;  ip: 192.9.215.172

首先RADIUS服务器需要安装windows2003三个内置组件 IIS ,CA证书服务,internet验证服务;

 

 

安装比较简单,在添加删除组件中选择相应组件,安装-插入2003光盘即可.就不详细说明了.

  创建RADIUS客户端;

 

名称:随意   地址: AP的IP地址  客户端-供应商:最好选择RADIUS STANDARD.  共享密钥:和AP的配置相同为h3c

 .创建远程访问策略:

  使用向导-无线-组:domain user,即所有域用户-EAP类型-完成

 

3.windows Xp客户端配置;

客户端认证方式:

1,域用户账户及计算机账户认证;[分为手动输入用户帐号和密码和自动使用当前系统登录用户帐号]                   

2,使用CA证书认证.

      1,使用EAP方式认证;   [即使用域账户信息登录];

  点击无线网卡属性-修改关联配置及认证方式

 

 

这个选择WPA TKIP就可以了!

 

 点击 a 属性..

b:选择EAP类型. 这里的类型可以分为账户密码形式认证及使用计算机证书登录两种;这里我使用域内的账户登录,选择EAP方式.

点击d 属性..

c:这里比较明显了,点击此选项就自动使用ad信息登录!  ;;;;;;这里我没有选择此项,使用手动登陆!

-------------------------------------------------------------------------------------------------------------------------------------------------

测试:

 

连接h3c-dot1x

 

提示需要登录凭证,点击此提示;

  输入帐号和密码..

这里直接输入帐号和密码就可以了,不需要后缀域名和填入登录域;;;;;;;;这个选项关联H3C配置中的

user-name-format without-domain     ;用户不携带域名进行RADIUS认证 ;

点击登录----------------

客户端成功获取;

 

 

 RADIUS日志登录成功日志:

 

 

 ap点-认证服务器-客户端全部配置完毕;

稍后我会把配置中遇到的错误以及解决方法发表出来;